TOK:意外獲得空投獎勵？小心資產被掏空！-ODAILY

原標題：明明是空投，為什么幣沒了？

“空投”一詞，對很多玩過大逃殺類游戲的人并不陌生，在游戲中會在固定的時間出現空投物資補給，但是空投的位置是隨機投放，經常會吸引一大波“追夢人”去前往爭搶拾取，所以在空投周圍經常會發生遭遇戰，即使在遭遇戰中取得勝利獲得了空投補給，也時常被其他埋伏的玩家坐收漁翁之利割了韭菜，每個空投在帶來高額收益的同時，也往往包含著巨大的風險。

“空投往自己身上砸”，應該不少玩家都做過這個美夢，那在虛擬貨幣的世界，被空投砸中是“幸運天選”還是另有貓膩呢？

什么是虛擬貨幣空投

關注虛擬貨幣的朋友，應該都聽說過“糖果”和“空投”，那糖果和空投分別是什么呢？兩者又有什么區別呢？

zkLink提前24小時關閉測試網開啟敦刻爾克測試，用意外關閉模擬緊急情況:5月10日消息，基于零知識證明的多鏈統一交易基礎設施 zkLink 宣布將提前 24 小時關閉測試網，開啟敦刻爾克測試。敦刻爾克（Dunkirk) 為一項關于用戶資金安全的緊急撤退測試，原計劃于新加坡時間 5 月 11 日 12:00 關閉網絡，開啟測試。zkLink 表示，本次提前關閉，為項目方精心策劃，目的在于幫助用戶加深理解：在加密行業，緊急情況總是在無法預知的情況下到來。提醒用戶時刻對資金安全，風險管理保持警惕。[2023/5/10 14:54:16]

區塊鏈項目方為了造勢通過發放“免費的午餐”，以此來培養忠實用戶，快速吸引更多的人來參與，增加項目本身的影響力，有點類似前些年打車軟件、外賣平臺的“燒錢式營銷”，所以糖果和空投本質上都是為了快速獲得市場的營銷方式而付出的推廣成本。

Binance.US因平臺意外故障暫時關閉交易所功能:美東時間8月7日上午11:26（北京時間23:26），Binance.US出現不可預見的平臺問題，導致該公司暫時關閉交易所功能。該平臺表示，所有客戶資金都是安全的，將盡快提供進一步的更新。（Cointelegraph）[2020/8/8]

糖果

糖果就是指區塊鏈項目方給早期用戶獎勵的代幣，等待該項目上線交易所后，贈送的代幣是可以在交易所直接變現的。

獎勵方式：一般是注冊獎勵和邀請獎勵，獎勵的代幣直接發放到個人賬戶，也有些項目方規定需要加入該項目的社群，通常參與方式都比較簡單。

安全風險：

如果遇到必須付費才能參加的糖果活動或者要求先投資一筆錢才能提現的，就很可能是借著糖果的幌子的騙子幣或傳銷幣。

空投

動態 | Sparkpool與意外發送者分攤30萬美元費用:據CoinDesk報道，以太坊礦池Sparkpool找到并驗證了礦工費用異常高的意外發送者并同意分攤費用。Sparkpool在聲明中表示發送者是韓國的區塊鏈公司。最終的協議為，Sparkpool保留2100 ETH（約30萬美元）的一半用于有資格獲得獎勵的池礦礦工，并將另一半返還給該韓國公司。據報道，Sparkpool已將1050 ETH返還給發送者。此前在2月19日，以太坊發生了一筆異常交易，該筆交易的轉賬金額為0.1 ETH，但交易手續費卻高達2100 ETH，該交易由Sparkpool打包。[2019/3/12]

雖然“糖果”和“空投”都是給用戶免費發放代幣，其實嚴格來說兩者是有一定區別的，最大的區別就是兩者的派發方式。糖果派發是直接贈送給參與活動的用戶，空投是項目方選擇一個時間節點，根據當時某種代幣的資產分布情況，按一定比例贈送代幣給潛在用戶。

聲音 | 江卓爾：萊比特礦池挖出的第二個BSV塊屬意外情況:近期萊比特礦池（BTC.TOP）挖出了BSV塊560713，澳本聰對此發推表示“祝賀”，然而江卓爾隨后即發文對此予以回應稱，BTC.TOP只挖掘過兩個BSV塊。第一個區塊是在BCH硬分叉之前開采的空區塊，作為哈希戰爭的測試；而這次的區塊是“意外”開采的。[2018/12/16]

空投和糖果的不同有兩點：

1、空投不是針對所有用戶，而是一部分指定的潛在用戶。

2、空投贈出的代幣數量不是恒定的，而是按照每個用戶的擁有比例來決定。

現在很多項目方把自身的糖果派發活動都叫做空投，所以現在空投和糖果已經被混淆在一起了。

知帆科技安全團隊根據相關情報分析發現一種以“空投”為噱頭的新型虛擬貨幣詐騙——騙取私鑰盜取錢包資產。

聲音 | BM建議防止意外的RAM消耗:據IMEOS報道，BM于北京時間8月28日晚十點十三分在Medium發布新文章，提出建議防止意外的 RAM 消耗。并對于一些用戶和基于 EOSIO 的智能合約無意中將其 RAM 資源用于惡意合約的第三方的情況進行分析。

最后 BM 提議只對接收的一方消耗 RAM，這樣可以安全地將Token發送到任何合約而不必它意外消耗。根據此提議的更改，現有合約必須獲得直接授權以消耗一些用戶可用的RAM。在接受用戶的存入之前，交換合約將要求用戶“開立賬戶以預留用于存儲其余額的空間”。然后，傳入的存入通知將簡單地增加預先分配的 RAM，而不是分配新的 RAM。

目前BM的團隊正在準備一個僅限出塊者的升級，它將改變默認行徑，防止意外的RAM消耗。[2018/8/29]

真實案例解析

騙子先是冒充Sushiswap官方空投，后冒充imToken錢包官方，誘導用戶下載詐騙的APP導入自己的錢包，之后騙子在后臺獲取到用戶私鑰，把錢包里的虛擬貨幣轉走。

冒充的客服給用戶發的公告

1、騙子利用Sushiswap官方的空投信息，借用其官方知名度，自己制作空投頁面，在微信群中偽裝客服引導用戶參與。不僅如此，客服為了和用戶拉近距離，使用美女或帥哥作為頭像。

2、騙子把Sushiswap官方項目所有資源，官網、合約開源代碼，宣傳語等包裝成自己的素材，誘導用戶。

3、吸引用戶進入電報、QQ、微信群，通過微信一對一的給用戶發送公告，如果你對此懷疑，他們會發送給你P好的官方公告圖，用戶在真正的官網上是查不到騙子發布的公告，所以騙子會告知用戶該代幣是不對外發放的，僅對參與的用戶發放獎勵，對于此解釋，不少用戶信以為真。

騙子P的imToken官方公告

4、騙子為了加強這個項目的真實性，會P出各種各樣的圖來，同時還會通過語音或官方400電話，引導用戶進入發送的鏈接或下載imToken錢包。

其實這個下載的錢包是項目方自己仿冒研發的錢包，并不是imToken官方錢包，用戶下載之后，自己創建新錢包轉入相應數量的本金，或者導入自己原有的錢包私鑰，領取平臺所宣傳的空投福利，而此時，騙子就已經拿到了用戶的私鑰。

5、拿到用戶私鑰后，騙子基本就可以控制該賬戶里的資金，隨時可以轉走用戶錢包里的資金。

總之，騙子是蹭Sushiswap和imToken的熱度，冒充官方發布虛假官方信息，以免費領取空投代幣為理由，誘導用戶掃描二維碼下載仿冒的imToken錢包，騙取用戶的資金。

詐騙手法

以空投為噱頭騙取用戶的私鑰是犯罪分子新型的詐騙手段，一般來說他們要經過以下步驟：

1、項目方發行代幣。

2、制作項目官網或APP。有的騙子會直接仿造一個出名的項目官網，只是域名稍微有所不同，不仔細看很難看出來，騙子還會通過在搜索網站購買廣告位和競價排名，引導用戶訪問虛假官網；

3、制作相關宣傳資料，包裝該空投項目。例如白皮書、商業計劃書、媒體宣傳話術；

4、建立各大媒體宣傳渠道，準備電報群、QQ群、微信群，Twitter、Youtub賬號，在以上各大平臺進行宣傳發放該項目資料，特別會在電報群中做推廣，因為其匿名和隱私性，來躲避監管部門的追查；

5、引導用戶下載注冊假冒錢包APP，導入自己的錢包或者創建一個錢包類型的賬戶；

6、以免費空投的名義在各大媒體渠道進行宣傳；

7、關停項目，轉移資產，解散相關社群，銷毀證據，直接跑路。

值得注意的是，正常一個去中心化錢包，項目方是獲取不到用戶私鑰的，但騙子仿造的去中心化錢包，只要用戶使用后，騙子就能拿到用戶私鑰，就會有資產被盜的風險。

安全提醒

知帆科技安全團隊提醒大家：

1、遇到空投項目要多渠道了解比對。可以先從網上查詢，與朋友打聽了解，如果你看到這個官網的信息很粗糙，不支持多語言環境，很有可能是假冒的官網，可以通過域名可進行區分。

2、項目活動通告，要從官網上查看，但凡官方沒有相關信息，都有可能是假冒的項目。近期，知帆安全團隊收到騙子誘導用戶下載假冒錢包APP盜取資產的相關案件，也就是說騙子蹭imToken錢包的熱度，自己仿造一個假的imToken官網同時冒充imToken客服發布虛假官方信息，以免費領取空投代幣為理由，誘導用戶掃描二維碼下載假的imToken錢包并充值，利用假錢包實施詐騙。

3、不要打開不明鏈接領取空投，如果讓下載有關APP，一定要從官網下載。

4、不要導入自己錢包的助記詞或私鑰到陌生錢包APP。

5、當你想要投入更多資金購買代幣以獲得更多空投的時候，一定要小心謹慎，注意理性投資。

Tags：TOKTOKETOKENKENAC Milan Fan TokenMiracle TokenAxioma TokenWPP Token

BTC